AI 平台漏洞使攻击者能够执行远程代码

黑客攻击人工智能基础设施平台，因为这些系统包含大量有价值的数据、本质上复杂的算法和大量计算资源。⁤

⁤因此，入侵此类平台可让黑客获取专有模型和敏感信息，不仅如此，还能操纵人工智能的结果。⁤

⁤Wiz Research 的网络安全研究人员最近发现了 Ollama AI 基础设施平台的一个漏洞，该漏洞可使威胁行为者执行远程代码。⁤

https://www.wiz.io/blog/probllama-ollama-vulnerability-cve-2024-37032

Ollama AI平台缺陷

该严重远程代码执行漏洞被追踪为“ CVE-2024-37032 ”（“Probllama”），位于 Ollama 中，Ollama 是一个流行的 AI 模型部署开源项目，在 GitHub 上拥有超过 70,000 个星星。

该漏洞已得到负责任的披露和缓解。

为了安全起见，建议用户更新至 Ollama 0.1.34 或更高版本。

截至 6 月 10 日，许多面向互联网的 Ollama 实例仍在使用存在漏洞的版本。

这凸显了用户需要修补其安装以保护其免受利用此安全漏洞的潜在攻击的必要性。

此类工具通常缺乏身份验证等标准安全功能，因此可能受到威胁行为者的攻击。

超过1000个Ollama实例被暴露，各种AI模型在未受保护的情况下托管。

Wiz 研究人员在 Ollama 服务器中发现，这会导致任意文件覆盖和远程代码执行。

此问题在以 root 权限运行的 Docker 安装中尤其严重。

该漏洞是由于 /api/pull端点的输入验证不足造成的，这允许通过来自私有注册表的恶意清单文件进行路径遍历。

这凸显了加强人工智能安全措施的必要性。

此严重漏洞允许使用路径遍历来表现恶意描述文件，从而实现任意文件的读写。⁤

⁤在具有 root 权限的 Docker 安装中，通过篡改 /etc/ld.so.preload 来加载恶意共享库，可以升级为远程代码执行。⁤

⁤当查询 /api/chat 端点时，攻击就开始了，创建一个加载攻击者有效载荷的新进程。⁤

⁤即使非 root 安装仍然存在风险，因为一些其他漏洞利用了任意文件读取技术。

建议安全团队应立即更新 Ollama 实例，并避免在未经身份验证的情况下将其暴露给互联网。 

虽然 Linux 安装默认绑定到本地主机，但 Docker 部署会公开 API 服务器，这大大增加了远程利用的风险。 

这凸显了快速发展的人工智能技术需要采取强有力的安全措施。

披露时间表

2024 年 5 月 5 日——Wiz Research 向 Ollama 报告了该问题。

2024 年 5 月 5 日——Ollama 确认收到报告。 

2024 年 5 月 5 日——Ollama 通知 Wiz Research，他们已向 GitHub 提交了修复程序。 

2024 年 5 月 8 日——Ollama 发布修补版本。 

2024 年 6 月 24 日——Wiz Research 发布了一篇关于此问题的博客。

原文始发于微信公众号（网络研究观）：AI 平台漏洞使攻击者能够执行远程代码